-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-2401 JPCERT/CC 2011-06-29 <<< JPCERT/CC WEEKLY REPORT 2011-06-29 >>> ―――――――――――――――――――――――――――――――――――――― ■06/19(日)〜06/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mac OS X に複数の脆弱性 【2】Mozilla 製品群に複数の脆弱性 【3】LibreOffice に複数の脆弱性 【4】Blue Coat ProxySG に脆弱性 【5】WeblyGo にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】Firefox の高速リリースサイクルについて ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr112401.html https://www.jpcert.or.jp/wr/2011/wr112401.xml ============================================================================ 【1】Mac OS X に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases Security Updates to Address Multiple Vulnerabilities http://www.us-cert.gov/current/archive/2011/06/24/archive.html#apple_releases_security_updates_to3 概要 Mac OS X および Mac OS X Server には、複数の脆弱性があります。結 果として、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Mac OS X v10.6 から v10.6.7 まで - Mac OS X Server v10.6 から v10.6.7 まで - Mac OS X v10.5.8 - Mac OS X Server v10.5.8 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#976710 Apple Mac OS X における脆弱性に対するアップデート https://jvn.jp/cert/JVNVU976710/index.html 関連文書 (英語) Apple Support HT4723 About the security content of Mac OS X v10.6.8 and Security Update 2011-004 http://support.apple.com/kb/HT4723?viewlocale=en_US 【2】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Mozilla Releases Firefox 5 and 3.6.18 http://www.us-cert.gov/current/archive/2011/06/24/archive.html#mozilla_releases_firefox_5_and 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、機密情報を取得したり、ユーザのブ ラウザ上で任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Firefox 4.0.1 およびそれ以前 - Firefox 3.6.17 およびそれ以前 - Thunderbird 3.1.10 およびそれ以前 - SeaMonkey 2.0.14 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。2011年6月 28日現在、本脆弱性に対する SeaMonkey の修正バージョンはリリース されていません。 なお、Mozilla によると、Firefox 4 以降のバージョンでは高速リリー スサイクルへ移行したため、セキュリティアップデートのみのバージョ ンを公開する予定はなく、Firefox 5 への更新を推奨しています。詳細 については、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Firefox リリースノート - バージョン 5.0 - 2011/06/21 リリース http://mozilla.jp/firefox/5.0/releasenotes/ Firefox 5.0 セキュリティアドバイザリ Firefox 5 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox5 Mozilla Japan Firefox リリースノート - バージョン 3.6.18 - 2011/06/21 リリース http://mozilla.jp/firefox/3.6.18/releasenotes/ Firefox 3.6 セキュリティアドバイザリ Firefox 3.6.18 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.18 Mozilla Japan Thunderbird リリースノート - バージョン 3.1.11 - 2011/06/21 リリース http://mozilla.jp/thunderbird/3.1.11/releasenotes/ Thunderbird 3.1 セキュリティアドバイザリ Thunderbird 3.1.11 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.11 SeaMonkey-ja Project SeaMonkey 2.1 (2011/6/10) http://www.seamonkey.jp/ Mozilla Japan ブログ Firefox と Thunderbird のセキュリティアップデートを公開しました http://mozilla.jp/blog/entry/6916/ Mozilla Japan 高速リリースサイクルに関するよくある質問 http://mozilla.jp/firefox/preview/faq/ 【3】LibreOffice に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#953183 LibreOffice 3.3 'Lotus Word Pro' document import filter contains multiple vulnerabilities http://www.kb.cert.org/vuls/id/953183 概要 LibreOffice には、Lotus Word Pro (.lwp) ファイルの処理に起因する 複数の脆弱性があります。結果として、第三者が細工した .lwp ファイ ルを開かせることで、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - LibreOffice 3.3.2 およびそれ以前 この問題は、ベンダが提供する修正済みのバージョンに LibreOffice を更新することで解決します。詳細については、ベンダが提供する情報 を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#953183 LibreOffice に複数の脆弱性 https://jvn.jp/cert/JVNVU953183/index.html LibreOffice LibreOffice 3.3.3 がダウンロードできるようになりました http://nabble.documentfoundation.org/LibreOffice-3-3-3-td3082171.html 関連文書 (英語) LibreOffice LibreOffice 3.3.3 Final (2011-06-16) http://www.libreoffice.org/download/ 【4】Blue Coat ProxySG に脆弱性 情報源 DOE-CIRC Technical Bulletin T-651 Blue Coat ProxySG Discloses Potentially Sensitive Information in Core Files http://www.doecirc.energy.gov/bulletins/t-651.shtml 概要 Blue Coat ProxySG には、脆弱性があります。結果として、ローカル ユーザが機密情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - ProxySG 6.1 および 6.2 この問題は、Blue Coat が提供する修正済みのバージョンに ProxySG を更新することで解決します。詳細については、Blue Coat が提供する 情報を参照してください。 関連文書 (日本語) Blue Coat Systems Blue Coat ProxySG http://www.bluecoat.co.jp/products/sg/ NEC Blue Coat ProxySGシリーズ http://www.nec.co.jp/datanet/bluecoat/ Hitachi Solutions Blue Coat Systems Products - ProxySG 製品概要 http://www.hitachi-system.co.jp/bluecoat/sp/proxysg/outline/outline.html FUJITSU SOCIAL SCIENCE LABORATORY LIMITED Proxy SGシリーズ(Proxy SG Full Proxy Edition) http://www.ssl.fujitsu.com/products/network/netproducts/bluecoat/#sg Macnica Networks Blue Coat ProxySG/AV Full Proxy Edition http://www.macnica.net/bluecoat/proxy.html/ 関連文書 (英語) Blue Coat Security Advisories SA56 June 17, 2011 - Sensitive information in ProxySG core files https://kb.bluecoat.com/index?page=content&id=SA56&cat=PROXYSG&actp=LIST 【5】WeblyGo にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#43386477 WeblyGo におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN43386477/index.html 概要 カワイビジネスソフトウエアのグループウェア WeblyGo には、クロス サイトスクリプティングの脆弱性があります。結果として、遠隔の第三 者がユーザのブラウザ上で任意のスクリプトを実行する可能性がありま す。 対象となるバージョンは以下の通りです。 - WeblyGo V5.0 Pro/LE - WeblyGo V5.02 Pro/LE - WeblyGo V5.03 Pro/LE - WeblyGo V5.04 Pro/LE - WeblyGo V5.10 Pro/LE この問題は、ベンダが提供する修正済みのバージョンに WeblyGo を更 新することで解決します。詳細については、ベンダが提供する情報を参 照してください。 関連文書 (日本語) カワイビジネスソフトウエア [重要] WeblyGo V5 脆弱性対応アップデート(V5.20) http://www.kbs.co.jp/jp/tabid/254/Default.aspx ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Firefox の高速リリースサイクルについて 2011年6月21日 Firefox 5.0 がリリースされました。機能追加、パフォー マンスの強化と併せていくつかのセキュリティの問題に関する修正が含 まれています。 Mozilla は Firefox 4 以降、リリースサイクルを大幅に変更し、高速リ リースサイクルへ移行しました。Firefox 4 以降は、セキュリティアッ プデートのみのバージョンを公開する予定はなく、より頻繁に新バージョ ンを公開すると発表しています。今後は、基本的に 6週間ごとに新バー ジョンを公開するということです。 参考文献 (日本語) Mozilla Firefox 高速リリースサイクルに関するよくある質問 http://mozilla.jp/firefox/preview/faq/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJOCnlRAAoJEDF9l6Rp7OBI5DkH/iWdDP35t92eDWi0S4/1Orrw YQ9Jf8Lzb50PsVhrH0LiQPIIwuB8cMz8l2VyzyJBIB5+d5rGGsXu7+dtDFvDuGNT v+ozolDtO6OEUDFwwebocAwacnKUDM5KYldQzz0gCJ3/k5FuJTEYPFcNAQur985t G4z+eaWXy1Q/MTNd8BnUc9j7jOemcfvzzw7kX4YYOBVzPEfRIkaYR9Xbdju7m0ba nsKpWL2gywHl2/7SOeuIcSmgtBNMJ+b1zWYI4C2m5SRonfqSv2pyX2KBBJgRz+fu ClgGnOipGaPbwTHLEU0gZ1emaO8WwfE4mkdTJixVy9Vel1/nCVWKR8jYA8OzFrM= =YyYU -----END PGP SIGNATURE-----